Ubuntu 上的恶意进程

Question 1

当您说 VPS 时，您是指在虚拟化解决方案中运行的虚拟服务器，例如 KVM？

300% CPU 只是意味着它同时在 3 个核心上运行。如果它是虚拟服务器，并且已分配 3 个核心 - 如果它正在执行某项操作，则所有分配的 CPU 都应该处于繁忙状态，要找出它在做什么，您需要连接到服务器，然后在那里运行 top 或 ps。

Answer

当您说 VPS 时，您是指在虚拟化解决方案中运行的虚拟服务器，例如 KVM？

300% CPU 只是意味着它同时在 3 个核心上运行。如果它是虚拟服务器，并且已分配 3 个核心 - 如果它正在执行某项操作，则所有分配的 CPU 都应该处于繁忙状态，要找出它在做什么，您需要连接到服务器，然后在那里运行 top 或 ps。

Question 2

你可以通过列出进程目录中的 exe 链接来找出正在运行的进程：如果你在 top 中看到的 PID 是 666，那么执行ls -l /proc/666/exe。

这将（或至少应该）显示一个->指向您可以分析的文件的箭头。

但是，文件的名称是随机的，这在一定程度上表明您的服务器已被入侵，您需要立即采取纠正措施，但这超出了本文的简短回答范围。最好的办法是确保备份所有内容，并用最新的操作系统替换 VPS。您需要确定入侵者是如何进入的，并确保新服务器没有同样的问题（更改密码，确保向互联网提供的任何服务都是安全的，等等）。

Answer

你可以通过列出进程目录中的 exe 链接来找出正在运行的进程：如果你在 top 中看到的 PID 是 666，那么执行ls -l /proc/666/exe。

这将（或至少应该）显示一个->指向您可以分析的文件的箭头。

但是，文件的名称是随机的，这在一定程度上表明您的服务器已被入侵，您需要立即采取纠正措施，但这超出了本文的简短回答范围。最好的办法是确保备份所有内容，并用最新的操作系统替换 VPS。您需要确定入侵者是如何进入的，并确保新服务器没有同样的问题（更改密码，确保向互联网提供的任何服务都是安全的，等等）。

Question 3

我会发出命令并 grep 查找该进程。输出ps -ef中的列为和。查看该列以确定启动了哪个父进程。重新发出命令并 grep 查找父进程 PID。最终，您应该找出涉及哪些二进制文件，并可能找出应该进一步调查哪个应用程序。psUID, PID, PPID, C, STIME, TTY, TIMECMDPPIDcER6XHps

一种更简单的方法（取决于您的系统有多忙）可能是命令pstree，但将输出通过管道传输到，less以便您可以以合理的方式查看信息页面。

编辑：阅读@Law29 的评论：尽管进程名称是非标准的 *nix 实用程序，并且确实看起来很可疑，但您正在运行的另一个进程可能创建了一个临时的 shell 脚本并分叉了某些内容。进程名称本身并不是妥协的明显迹象。

Answer

我会发出命令并 grep 查找该进程。输出ps -ef中的列为和。查看该列以确定启动了哪个父进程。重新发出命令并 grep 查找父进程 PID。最终，您应该找出涉及哪些二进制文件，并可能找出应该进一步调查哪个应用程序。psUID, PID, PPID, C, STIME, TTY, TIMECMDPPIDcER6XHps

一种更简单的方法（取决于您的系统有多忙）可能是命令pstree，但将输出通过管道传输到，less以便您可以以合理的方式查看信息页面。

编辑：阅读@Law29 的评论：尽管进程名称是非标准的 *nix 实用程序，并且确实看起来很可疑，但您正在运行的另一个进程可能创建了一个临时的 shell 脚本并分叉了某些内容。进程名称本身并不是妥协的明显迹象。

Ubuntu 上的恶意进程

答案1

答案2

答案3

相关内容